现在做ASP.NET项目的时分就有遇到过“用户代码未处理HttpRequestValidationException：从客户端***中检测到有潜在风险的 Request.Form/Request.QueryString值。”的问题，其实这是ASP.NET关于XSS进犯的一种防护手法，避免歹意的HTML符号或脚本数据注入到网站中。

遇到这种问题，我百度了一下，看了大神写的博客，所以转载+备份。

要处理这个问题需求对应多种状况，并且有多种办法来处理。在ASP.NET WebForm项目中能够对独自页面或许大局页面进行处理。

办法一：在出现问题的页面中，设置头部Page的特点ValidateRequest=false，代码如下：

MSDN关于ValidateRequest特点的描述：假如 ASP.NET 针对风险值查看来自浏览器的输入，则为 true；不然为 false。 默许值为 true。

办法二：在装备文件中 设置system.web 节点下pages节点的validateRequest="false"，代码如下：

留意：

1、办法二要慎用，办法二是大局装备，一旦封闭了全站的恳求验证，网站就很有或许遭到各种进犯以及承受许多风险的数据，比方最常见的XSS进犯。

2、办法一和办法二设置收效都有一个条件，便是装备文件中的httpRuntime 节点的验证形式有必要为2.0，.Net Framework4.0版别以上的项目，不设置的话默许验证形式是4.0，4.0的验证形式ValidateRequest=false将会无效，除非 你的ASP.NET项目运用的仍是.NET 4.0以下的结构。

代码如下：

总结MSDN的材料，归纳来说便是4.0的验证形式默许是全站HTTP恳求都会进行验证，包括COOKIE恳求、.ashx一般处理程序恳求都会进行验证。而2.0的形式仅仅针对当时的.aspx页面，这儿看下微软MSDN上的阐明：

3、办法一也是在特定环境下才能够撤销验证，关于用户的输入内容，有必要要做好相对应的防护办法，根本的能够运用 HttpUtility.HtmlEncode()对用户输入文本进行编码。当然引荐仍是运用AntiXSS类库，在.NET Framework4.5以上的版别现已将这个类库包括进去，有爱好的朋友能够研讨下System.Web.Security.AntiXss 命名空间。

别的一个便是ASP.NET MVC项目，MVC中比较简单，只要在控制器上设置特点ValidateInput(false)就行，例如：

别的即使是ASP.NET MVC，也要在装备文件中设置验证形式为2.0，不然设置也是无效的。